Om cloud- en on-premise applicaties te integreren en automatiseren, maken ketens gebruik van Amazon® Web Services (AWS) beveiliging en een iPaaS-architectuur om te voldoen aan uitgebreide bedrijfsarchitectuurstandaarden en een strikt IT-beveiligingsbeleid. Elke laag van de Chain Builder architectuur beschermt klantgegevens en:
- Biedt toegangscontrole voor de gevoelige systemen waarmee het communiceert
- Voldoet aan de eisen van moderne architectuur
- Is SOC1- en SOC2-conform
- Overtreft vaak de vereiste cloudcertificeringen
Referentiearchitectuur
U bouwt veilig ketens over het HTTPS-protocol (TLS 1.3 of hoger) via web- en mobiele apparaten. Binnen de hostservice draait de primaire toepassing, een database met Advanced Encryption Standard (AES)-ondersteuning die veilig metadata en een wachtrij herbergt om de communicatie en taakuitvoering op externe CloudRunner en GroundRunner service agents te beheren.
Samengevat omvat de architectuur van de kettingbouwer:
- De veilige browsergebaseerde gebruikersinterface om integraties uit te voeren en te beheren.
- De centrale multi-tenant service gehost in Amazon Web Services (AWS)
- Externe uitvoeringsagenten van CloudRunner en GroundRunner voor een interface met applicaties in de cloud en op locatie
GroundRunners en CloudRunners
De uitvoeringsagenten, bekend als GroundRunners, worden op locatie gehost en vormen een interface met toepassingen binnen en buiten het klantnetwerk. GroundRunners:
- Een lichte voetafdruk van hulpbronnen hebben.
- Ondersteunt Microsoft Windows®, Linux®, macOS® en Oracle Solaris® besturingssystemen op fysieke en virtuele computerbronnen.
- Voer alle vereiste automatiserings- en integratietaken uit, van het uitvoeren van een eenvoudig besturingssysteemcommando tot native applicatiebewerkingen zoals het laden of ophalen van gegevens.
Om toegang te krijgen tot een on-premises systeem, moet u een GroundRunner hosten op een besturingsomgeving die toegang heeft tot de hostservice.
Als u geen toegang tot een lokaal systeem nodig hebt, voert de standaard CloudRunner gehost door Workiva de integratietaken uit.
| Overwogen implementatie | GroundRunner | CloudRunner |
|---|---|---|
| Installatie | Vereist installatie op een computeromgeving binnen uw bedrijfsfirewall die via poort 443 een interface kan maken met de externe hostservice. Meer informatie | Geen |
| Besturingssysteem | Microsoft Windows, Linux, Oracle Solaris of macOS. De uitvoerbare bestanden draaien als een service en moeten worden gestart onder een bepaalde serviceaccount met de juiste rechten voor het besturingssysteem of andere gedeelde bronnen. | Niet van toepassing |
| Serviceverantwoordelijkheid | Uw organisatie is verantwoordelijk voor het hosten, beheren en installeren van GroundRunners | De standaard CloudRunner, geleverd als onderdeel van Chain Builder, is Workiva's verantwoordelijkheid |
| Gegevensstroom | Met het gebruik van een GroundRunner worden uw gegevens niet via de hostservice verzonden | Wanneer de CloudRunner rechtstreeks met een ondersteunde cloudtechnologie interfacet, verzendt het gegevens via de hostservice |
| Integratie op locatie en in de cloud | Volledige en naadloze integratie met zowel on-premises als cloudapplicaties | Alleen integratie tussen cloudapplicaties |
| Native gebruik van gepubliceerde API's van toepassingen | Afhankelijk van het systeem op locatie, maken verbindingen gebruik van verschillende API's (Application Programming Interfaces). Voor cloudtechnologieën gebruiken verbindingen alleen gepubliceerde REST API's die gegevens veilig via HTTPS (TLS 1.3) verzenden. | Verbindingen maken alleen gebruik van gepubliceerde REST API's die gegevens veilig via HTTPS (TLS 1.3) verzenden |
GroundRunners controleren regelmatig op nieuwe upgrades. Wanneer een GroundRunner een upgrade detecteert, downloadt het automatisch de nieuwe binaries met behulp van de strenge beveiligde transportlaag. U kunt ook binaries handmatig downloaden en implementeren. Om man-in-the-middle aanvallen te voorkomen, worden nieuwe binaries ondertekend en versleuteld.
Netwerkbeveiliging
Chain Builder wordt gehost op AWS en het netwerk opereert binnen een Virtual Private Cloud (VPC). Met deze virtuele firewall kan Workiva het verkeer van en naar Chain Builder regelen. Op een meer granulair niveau worden de diensten van Chain Builder gehost binnen publieke en private subnetten (geïsoleerde blokken IP-adressen) van de VPC. De VPC fungeert als een DMZ, waarbij:
- De openbare subnetten bevatten diensten die rechtstreeks via het openbare internet toegankelijk zijn via HTTPS-verzoeken op één enkele poort (443).
- De privésubnetten voorkomen openbaar verkeer en hosten interne services die alleen toegankelijk zijn voor services binnen de VPC.
Beveiliging van gegevensoverdracht
Om de volledige veiligheid van gegevensoverdracht tussen systemen te garanderen, wordt al het verkeer van en naar Chain Builder versleuteld met het TLS 1.3-protocol met behulp van 2048-bits certificaten. Daarnaast wordt de communicatie tussen interne toepassingen gecodeerd om ervoor te zorgen dat alle verzendingen afkomstig zijn van een legitieme bron.
GroundRunners en de CloudRunner ondersteunen de directe uitwisseling van gegevens, waarbij agents bestanden kunnen downloaden en uitwisselen via een communicatiekanaal dat gebruik maakt van hetzelfde TLS 1.3 protocol in aanvulling op een JSON Web Token (JWT). Elke GroundRunner ondersteunt directe agent-naar-agent gegevensuitwisseling en is configureerbaar om deze optie in of uit te schakelen en de luisterpoort te regelen (standaard 8821).
Om een beveiligd kanaal te creëren, werken GroundRunners ook met een bedrijfs-proxyserver die door uw bedrijfs-IT wordt aangestuurd om met de hostservice te communiceren.
Database laagbeveiliging
Databaseservers worden gehost binnen privésubnetten. Deze databases zijn niet rechtstreeks toegankelijk vanaf het openbare internet; alleen services binnen de VPC kunnen er verbinding mee maken. Alle verbindingen met databases zijn beveiligd met een wachtwoord en alleen de benodigde poorten zijn toegankelijk. Om gegevensverlies te voorkomen, zijn de databases zeer redundant en verdeeld over meerdere datacenters.
Van databases wordt dagelijks een back-up gemaakt. Deze snapshots worden opgeslagen in Amazon Simple Storage Service (S3) met een coderingsniveau van AES-256 en in meerdere beschikbaarheidszones om een extra laag van veilige redundantie te garanderen.
Beheer van gegevens en metadata
Om gegevens te beschrijven en van informatie te voorzien, slaat de hostservice deze metagegevens op een coderingsniveau van AES-256 op:
- Ontwerp metadata, zoals de configuratie van workspaces, ketens en taken.
- Audit metadata, zoals de wijzigingsgeschiedenis voor elk onderdeel, inclusief werkruimten, ketens, bestandsbronnen en planningen.
- Runtime metadata, zoals de geschiedenis van ketting- en taakruns en alle logs die door de server, CloudRunner of GroundRunners zijn geproduceerd.
De CloudRunner en GroundRunners voeren alle gegevensoverdracht uit en hebben een directe interface met:
- Het Workiva platform
- Cloud-toepassingen zoals Anaplan®, Salesforce®, Oracle® EPM Cloud en Tableau®
- On-premises toepassingen zoals Oracle® Hyperion of SQL Server® via hun native API's
Een keten kan een taak bevatten die een kortstondig staging flat file produceert, ook wel uitvoer genoemd.
- Als de CloudRunner de uitvoer genereert, wordt deze opgeslagen met een coderingsniveau van AES-256 op een AWS Elastic File System (EFS)-volume.
- Als een GroundRunner de uitvoer genereert, wordt deze tijdelijk opgeslagen op het bestandssysteem van de host, die het coderingsniveau bepaalt.
Workflowbijlagen zijn vluchtig en verdwijnen nadat de workflow is voltooid. Om een bestand in verband met een workflow te bewaren, slaat u het op een bestandssysteem op locatie op of op een cloudstation zoals Google® Drive of BOX®.
Gevoelige bestanden, zoals bronnen die zijn geüpload voor een workspace of connector, worden versleuteld via HashiCorp Vault Transit-encryptie en versleuteld opgeslagen in Amazon Simple Storage Service (S3). Gevoelige tekstvelden, zoals authenticatiegegevens die zijn ingevoerd als connector-eigenschap, worden opgeslagen als gecodeerde HashiCorp Vault Secrets in Amazon DynamoDB®. Om de hoofdsleutel op te slaan, gebruiken zowel Vault Transit als Vault Secrets/KV Store awskms verzegeling.